[그게 뭔가요] DID부터 패스키까지…차세대 인증 기술
사람의 신원을 확인하는 ‘인증’. 신분증을 내밀고 얼굴을 확인하는 정도의 오프라인 활동이면 모르겠지만, 온라인 환경에서라면 더 정교한 인증 기술이 필요하다. 직접 확인할 수 없으니 누군가의 신원을 도용했는지, 아이디와 패스워드가 안전한지 다각도로 확인해야 부작용을 막을 수 있다. 반대로 촘촘히 확인한답시고 너무 과도한 절차를 요구하면 불편해지고 효율이 떨어질 수 있다.
보안성과 효율성 사이의 균형을 맞추기 위해 인증 기술도 다각화하는 모습이다. 중앙화된 시스템을 탈피하거나 생체정보 확인하는 방법 등 형태도 가지각색으로 분화하고 있다. 주목받는 신(新) 인증기술을 파헤쳐 본다.
DID? 분산이 핵심
분산 신원증명(DID·Decentralized Identity)과 간편 생체인증(FIDO·Fast IDentity Online)은 대표적인 차세대 인증 방식으로 꼽힌다.
특히 DID는 블록체인을 기반으로 한 차세대 인증 방법이다. 기존의 중앙화 방식에서 벗어나 탈중앙화 방식으로 개인 신원을 증명하는 형태다. 자신의 개인정보 노출 없이 정보 주권을 확보하면서 더 널리 활용할 수 있는 게 핵심이다. 암호화한 개인정보를 개인별 전자지갑에 저장한 뒤 제출이 필요할 때 필요한 정보만 제시하는 형태다.
DID 체계의 구성 주체는 발급기관(Issuer) ▲개인정보 소유자(Holder) ▲검증기관(Verifier)으로 나뉜다. 인증 과정을 순서대로 보면, 우선 소유자가 발급기관에서 신원증명 데이터인 VC(Verifiable Credential)를 발급 받은 뒤 스마트폰 같은 개인기기의 전자지갑에 넣어 놓는다. 이후 검증기관에 제출되기 전 발급기관과 정보주체(소유자)의 전자서명이 이뤄지고 검증기관이 이를 검증하는 형태다.
업무 흐름으로 보면 이해가 더 쉽다. 우선 신원정보 소유자가 발급기관에 신원정보 발급을 요청하면, 발급기관이 소유자의 신원을 검증한 뒤 신원정보를 소유자에게 내준다. 이후 신원정보 소유자는 자신의 전자지갑에 발급받은 정보를 저장∙관리한다. 이 과정에서 발급기관은 소유자의 신원정보를 분산ID 신뢰 저장소에 함께 등록해 놓는다. 소유자는 여기서 신원정보를 검증자, 즉 은행이나 증권사 같은 서비스 제공자에게 제출한다. 이후 검증자는 분산ID 신뢰 저장소를 통해 신원정보를 검증해 소유자의 신원을 확인하는 형태다.
기존 공인인증서가 공인인증기관의 서버에 정보가 저장되고 본인 확인을 위해 해당 기관의 서버를 거치는 것과는 다르다. 공인인증서는 중앙화 서버에 정보를 저장해 놓기 때문에 서버 해킹이나 위·변조의 가능성이 존재한다. 반면 DID는 블록체인 네트워크를 거치고 자신의 신원 정보를 개인 기기에 담아 관리하기 때문에 이 같은 우려에서 상대적으로 자유롭다.
나만의 생체정보로 인증하는 ‘FIDO’
FIDO는 사람의 신체 정보를 이용하는 인증 방식이다. ‘패스키(Pass-Key)’의 확산으로 더 주목받는 FIDO는 패스워드 로그인 방식의 단점을 보완한 기술이다.
쉽게 지문이나 얼굴 같은 사람의 몸 일부, 즉 생체정보를 로그인에 활용하는 게 골자다. 패스워드 분실이나 도용의 위험이 없고 절차도 훨씬 간편하다. 시스템 별로 다른 패스워드를 활용하는 수고에서도 자유롭다. 단순히 생체정보 자체만 활용하는 것은 아니다. 서버에는 공개키를 저장하고 사용자 기기에는 개인키를 보관하는 가운데 이 개인키를 여는 데 생체정보를 쓰는 구조다.
흐름은 이렇다. 이용자 등록 과정에서 디지털 서명문 검증을 위한 공개키를 우선 서버에 저장한다. 서버는 이용자에게 임의의 난수로 된 공개키를 보낸다. 이용자는 그 난수 공개키를 자신만의 개인키(생체정보)로 서명하고 다시 서버로 보내 인증하는 형태다.
풀어 말하면 사용자가 생체정보로 개인키에 확인 도장을 찍어주면 공개키와 물려 로그인 여부를 결정하는 형태다. 생체정보로 인증 에이전트를 개인키에 접근하게 하도록 하고, 해당 에이전트는 이용자 개인키가 생성한 디지털 서명문을 전송해 공개키와 맞춰 로그인을 풀어준다.
최근 주목받은 패스키는 이러한 FIDO를 기반으로 한다. 마이크로소프트를 비롯해 구글, 애플 등이 패스키를 적용하고 있다. 애플의 페이스 ID나 터치 ID가 바로 이 패스키 방식이다. 마이크로소프트도 윈도우 헬로(Window Hello) 기능을 통해 윈도우에서 안면 인식 로그인을 허용키로 했다. 구글도 최근 이 패스키를 계정 로그인 기본 옵션으로 제공한다고 발표했다.
패스키는 생체인증으로 본인을 확인하기 때문에 인증 과정이 비교적 간편하다. 빅테크들이 잇달아 패스키를 적용하는 것도 패스워드 입력 수고 없이 쉬운 로그인을 도모하기 위함이다. 개인의 노트북이나 스마트폰에 지문이나 얼굴 정보만 저장해 놓으면 빠른 업무가 가능해진다.
또한 패스워드 역할을 하는 생체정보는 개인 기기에 저장하므로 혹여 애플이나 구글 등 패스키를 쓰는 기업 서버가 털리더라도 보안이 뚫릴 염려가 줄어든다. 경우의 수로 맞춰볼 수 있는 비밀번호와 달리 물리적으로 단 하나인 생체정보만 활용하기 때문이다. 공개키가 기업 서버에 저장되긴 하지만 난수 문서라 누군가 확인하더라도 그것만으로는 할 수 있는 것이 없다. 결국 사람의 생체정보로 개인키의 진위를 증명하고, 이 개인키를 활용해 공개키까지 해독해야 한다. 겉으로 보이는 과정은 간간편하지만 뒷단에서 검증은 촘촘히 이뤄지는 형태다.
양자기술도 대안으로 대두
양자내성암호(PQC·Post Quantum Cryptography) 체계도 새로운 흐름으로 대두된다. 이는 양자 역학의 중첩성(Superposition)을 통해 훨씬 빠른 연산이 가능한 양자 컴퓨터에도 뚫리지 않는 보안 체계 구현이 목표다. 기존 컴퓨터가 쓰는 이진법 기반의 비트(Bit)가 단순히 0 또는 1 두 가지 상태 중 하나의 값만 가질 수 있다. 반면 양자 컴퓨터가 쓰는 ‘큐비트(Qubit)’는 이 둘을 모두 처리할 수 있어 높은 연산 능력을 자랑한다.
이렇게 높은 연산 능력을 가진 양자 컴퓨터라면 기존의 암호 체계를 뚫는 것도 가능할 것으로 전망된다. 이에 양자난수생성(QRNG·Quantum Random Number Generate) 과정을 진행해 양자컴퓨팅으로도 해독이 어려운 키를 만들어 보안을 지키는 게 목적이다. 다만 PQC의 확산은 아직 시간이 걸릴 전망이다. 서명을 위한 패킷 사이즈가 무척 크고, 시스템 전환에도 시간이 필요할 거라는 게 전문가들의 진단이다.
한편 기존에 널리 쓰이는 체계의 단점을 보완하는 노력도 계속되고 있다. 대표적인 게 다중인증(MFA·Multi Factor Authentication)이다. MFA는 패스워드에 추가적인 인증 방법을 더하는 것을 뜻한다. 패스워드 이외의 정보나 요소를 요구해 신원을 검증한다. 별도로 한 번 더 인증을 위해 일회용비밀번호(OTP·One Time Password)를 쓰는 것도 일종의 MFA 방식이다.
외국계 아이덴티티 전문 기업인 옥타(Okta)는 올해 IT 업계의 87%가 MFA를 사용하고 있다는 조사 결과를 발표하기도 했다. MFA가 하나의 보완재로 활용되고 있음을 시사하는 대목이다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
